Güvenlik değerlendirmesi: Güvenli olmayan Kerberos temsilcisi
Kerberos temsilcisi nedir?
Kerberos temsilcisi seçme, uygulamaların kaynak kullanıcı adına kaynaklara erişmek için son kullanıcı erişim kimlik bilgileri istemesine olanak tanıyan bir temsilci ayarıdır.
Güvenli olmayan Kerberos temsilcisi bir kuruluş için hangi riski oluşturur?
Güvenli olmayan Kerberos temsilcisi, bir varlığa seçtiğiniz diğer hizmetlerde kimliğinize bürünme olanağı verir. Örneğin, bir IIS web siteniz olduğunu ve uygulama havuzu hesabının kısıtlanmamış temsilciyle yapılandırıldığını düşünün. IIS web sitesi sitesinde yerel Kerberos kimlik doğrulamasına izin veren Windows Kimlik Doğrulaması da etkindir ve site iş verileri için bir arka uç SQL Server kullanır. Etki alanı Yönetici hesabınızla IIS web sitesine göz atıp kimlik doğrulaması yaparsınız. Kısıtlanmamış temsil kullanan web sitesi, etki alanı denetleyicisinden SQL hizmetine bir hizmet bileti alabilir ve bunu sizin adınıza yapabilir.
Kerberos temsilcisi seçme ile ilgili temel sorun, uygulamaya her zaman doğru şeyi yapmak için güvenmeniz gerektiğidir. Kötü amaçlı aktörler bunun yerine uygulamayı yanlış bir şey yapmaya zorlayabilir. Etki alanı yöneticisi olarak oturum açtıysanız site, etki alanı yöneticisi olarak siz gibi davranarak diğer hizmetler için bir bilet oluşturabilir. Örneğin, site bir etki alanı denetleyicisi seçebilir ve kuruluş yönetici grubunda değişiklik yapabilir. Benzer şekilde, site KRBTGT hesabının karması alabilir veya İnsan Kaynakları departmanınızdan ilginç bir dosya indirebilir. Risk açıktır ve güvenli olmayan temsilci seçme olasılıkları neredeyse sonsuzdur.
Aşağıda, farklı temsilci türleri tarafından ortaya konan riskin açıklaması yer alandır:
- Kısıtlanmamış temsilci: Temsilci girdilerinden biri hassassa herhangi bir hizmet kötüye kullanılabilir.
- Kısıtlanmış temsil: Temsilci girdilerinden biri hassassa kısıtlanmış varlıklar kötüye kullanılabilir.
- Kaynak tabanlı kısıtlanmış temsilci (RBCD):Varlık hassassa kaynak tabanlı kısıtlanmış varlıklar kötüye kullanılabilir.
Bu güvenlik değerlendirme Nasıl yaparım? kullanılır?
Etki alanı denetleyicisi olmayan varlıklarınızdan hangilerinin güvenli olmayan Kerberos temsili için yapılandırıldığını bulmak için 'de https://security.microsoft.com/securescore?viewid=actions önerilen eylemi gözden geçirin.
Risk altında olan kullanıcılar üzerinde, kısıtlanmamış özniteliklerini kaldırma veya daha güvenli bir kısıtlanmış temsil olarak değiştirme gibi uygun eylemleri gerçekleştirin.
Not
Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.
Düzeltme
Temsilci türünüz için uygun düzeltmeyi kullanın.
Kısıtlanmamış temsilci seçme
Temsilci seçmeyi devre dışı bırakın veya aşağıdaki Kerberos kısıtlanmış temsil (KCD) türlerinden birini kullanın:
Kısıtlanmış temsilci: Bu hesabın kimliğe bürünebileceği hizmetleri kısıtlar.
Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven'i seçin.
Bu hesabın temsilci kimlik bilgilerini sunabileceği Hizmetleri belirtin.
Kaynak tabanlı kısıtlanmış temsilci: Hangi varlıkların bu hesabın kimliğine bürünebileceğini kısıtlar.
Kaynak tabanlı KCD, PowerShell kullanılarak yapılandırılır. Kimliğine bürünen hesabın bilgisayar hesabı mı yoksa kullanıcı hesabı mı/hizmet hesabı mı olduğuna bağlı olarak Set-ADComputer veya Set-ADUser cmdlet'lerini kullanırsınız.
Kısıtlanmış temsil
Önerilerde listelenen hassas kullanıcıları gözden geçirin ve etkilenen hesabın temsilci kimlik bilgilerini sunabileceği hizmetlerden kaldırın.
Kaynak tabanlı kısıtlanmış temsilci (RBCD)
Önerilerde listelenen hassas kullanıcıları gözden geçirin ve kaynaktan kaldırın. RBCD'yi yapılandırma hakkında daha fazla bilgi için bkz . Microsoft Entra Etki Alanı Hizmetleri'nde Kerberos kısıtlanmış temsilini (KCD) yapılandırma.